El ciberespionaje inglés, en el banquillo de la justicia

Una parodia del CCC con la fotografía de Joe Rosental donde seis soldados colocan la bandera en EU en la cima del monte Suribachi, Japón. Foto: CCC
Una parodia del CCC con la fotografía de Joe Rosental donde seis soldados colocan la bandera en EU en la cima del monte Suribachi, Japón.  Foto: CCC
Una parodia del CCC con la fotografía de Joe Rosental donde seis soldados colocan la bandera en EU en la cima del monte Suribachi, Japón.
Foto: CCC

BRUSELAS (apro).- “Queremos mostrarle a la gente que sí se puede hacer algo contra la vigilancia masiva”, señala a Apro el ciberactivista Jan Girlich a nombre de Chaos Computer Club (CCC), el más grande colectivo europeo de hackers fundado en Alemania en 1981.

Girlich se refiere a la demanda que el 2 de julio presentó CCC y otras seis proveedoras alternativas de servicios de Internet y comunicaciones contra los ataques informáticos perpetrados por el servicio británico de inteligencia cibernética, el Cuartel General de Comunicaciones del Gobierno (GCHQ, por sus siglas en inglés), los cuales fueron revelados por Edward Snowden, el exinformático de la Agencia Nacional de Seguridad de Estados Unidos (NSA) refugiado actualmente en Rusia.

Artículo publicado el 26 de septiembre de 2014 en la sección Prisma Internacional de la Agencia PROCESO

La importancia de tal demanda radica en que es la primera ocasión en que un grupo de esos suministradores de Internet interpone una acción colectiva “contra el ataque, explotación y selección de objetivos de las redes que sostienen la infraestructura de comunicaciones”, llevados a cabo por el GCHQ con la finalidad de “acceder ilegalmente a los mensajes privados de millones de personas en el mundo”, apunta Girlich.

Como el CCC alemán, los otros demandantes también están constituidos en sus países como organismos sin ánimos de lucro. Su actividad descansa en una ética a favor de los derechos humanos y, por tanto, en el respeto absoluto a la privacidad de las comunicaciones de sus afiliados, muchos de ellos individuos y organizaciones inconformes con la actividad de los aparatos de seguridad del Estado.

Se trata de Riseup Networks y May First/People Link de Estados Unidos, GreenNet Limited de Reino Unido, Greenhost de Holanda, Mango Email Service de Zimbabwe, y Jinbonet-Korean Progressive Network de Corea, todos ellos apoyados por un equipo jurídico de la organización con sede en Londres Privacy International.

La queja fue presentada en Reino Unido ante el Investigatory Powers Tribunal, una Corte independiente donde se ventilan las acusaciones que implican a los servicios de inteligencia de ese país, cuyo funcionamiento está encuadrado por la Ley de Regulación de Poderes Investigativos (RIPA, por sus siglas en inglés), adoptada en 2000 para tratar de ajustar el control del espionaje gubernamental en la era digital.

Violaciones

Los demandantes afirman que al interferir en las redes y computadoras de su propiedad, el GCHQ violó la Ley de Abusos Informáticos de Reino Unido y el artículo 1 del Protocolo Adicional (A1AP) a la Convención Europea de Derechos Humanos (CEDH), que garantiza a los individuos “el disfrute pacífico de sus propiedades”.

Asimismo, el GCHQ, que vigiló a los empleados de las proveedoras, también estaría violando el artículo 8 de la CEDH relativo al derecho a la privacidad, así como el artículo 10 de la misma y que se refiere a la libertad de expresión.

En este sentido, la demanda menciona el caso de un empleado informático de Mach, una compañía de borrado de datos afectada por los ataques espías británicos. La GCHQ poseía sus claves de Skype, de correo electrónico en Gmail, la lista de sus computadoras de trabajo y de uso privado, y la información personal de su perfil en redes sociales, según un reportaje de la revista alemana Der Spiegel.

Los mismos artículos 8 y 10 de la CEDH habrían sido igualmente quebrantados en relación con la vigilancia que efectuó el GCHQ sobre las personas que utilizan las redes de los organismos demandantes, la cual sólo fue posible introduciéndose secretamente en sus infraestructuras de Internet.

Ese tipo de intrusión permite “capturas empaquetadas” (el escaneo masivo de comunicaciones en Internet), el debilitamiento de las capacidades de encriptado, la observación y desvío de las actividades de navegación en la red, la censura y modificación de las comunicaciones en tránsito, y la creación de “avenidas” para infectar los dispositivos de los usuarios.

Más aún, el espionaje británico, consideran los proveedores afectados, “debilitó la buena fe y la relación” que los une con sus usuarios, infringiendo el mencionado A1AP de la Convención Europea de Derechos Humanos.

Para Girlich, el espionaje del GCHQ es “tramposo” y “confisca de manera arbitraria todos los derechos a la privacidad de los ciudadanos”.

“De este modo –señala–, no sólo a abogados, doctores, periodistas y a mucha más gente se le privó de su base de trabajo, sino que además despoja a todos de su capacidad para refutar la opinión de sus gobiernos sin temer represalias”.

“El hecho de monitorear todas las comunicaciones secretamente y sin ningún control efectivo ni contrapeso destruye los pilares sobre los cuales se sostienen nuestras democracias”, comenta Girlich, y advierte: “Estamos caminando hacia un Estado policiaco. Y la única manera de evitarlo es poniendo fin a la vigilancia masiva”.

Ataques espías

En la exposición de motivos de la demanda, elaborada por el bufete de abogados Blackstone Chambers –y a la cual tuvo acceso Apro–, aparece como parte acusada, además del GCHQ, el secretario de Relaciones Exteriores de Reino Unido, de quien depende legalmente el control de aquella agencia de espionaje.

El escrito relata que “a finales de 2013” (el 20 de septiembre), el semanario alemán Der Spiegel reportó que la compañía de telecomunicaciones belga, Belgacom, había sido víctima de la intrusión en sus redes por parte del GCHQ, de acuerdo con documentos que les filtró Snowden, entre ellos una carpeta de presentación interna de la agencia.

El “sofisticado ataque” fue llevado a cabo contra varios empleados de la empresa belga con base en un método tecnológico referido como “Quantum Insert” (QI), el cual consiste en redirigir a esas personas, sin su consentimiento, a sitios que infectan con “programas malignos” sus computadoras y de esa manera poder ser manipuladas por el GCHQ.

Los empleados espiados ocupaban puestos en la administración de las redes de Belgacom, por lo que el GCHQ podía acceder a través de ellos a los clientes de la compañía, entre los que se encuentran las instituciones de la Unión Europea, basadas en Bruselas.

Según el reportaje de Der Spiegel, el GCHQ estaba a punto de acceder a la central belga de interconexión de redes, en la que se procesa el tráfico internacional.

La agencia pretendía usar este acceso para realizar ataques más complejos capaces de romper los códigos modernos de encriptado de los teléfonos inteligentes o smartphones. Esos “ataques intermediarios” –conocidos en inglés como Man in the middle—funcionan colocando al agresor (en este caso sería el GCHQ) entre dos computadoras, las cuales creen que se están comunicando de manera segura porque al seguir conectadas no es detectada la interferencia, mientras que sus mensajes en realidad están siendo almacenados por el espía.

A ese respecto, la prensa belga publicó el 1 de febrero que la investigación sobre el ataque masivo a Belgacom descubrió que el experto internacional en protección y encriptado de datos, el profesor belga Jean-Jaques Quisquater, había sido espiado por la GCHQ a través de la instalación de un programa pirata en su computadora.

La exposición de motivos de la demanda narra que el 11 de noviembre, Der Spiegel detalló que los empleados de Belgacom habían sido infiltrados mediante una falsa página de la red social de servicios profesionales Linkedln diseñada por el GCHQ.

Más aún, el semanario alemán reveló que el ataque a la compañía belga no era un caso aislado y formaba parte de las actividades regulares de una unidad de élite de hackers al servicio de la inteligencia británica, trabajando bajo los auspicios de un grupo llamado MyNOC.

La información siguió fluyendo. El 29 de marzo, Der Spiegel informó que el GCHQ operaba en conjunto con la NSA estaciones de escuchas dirigidas a interceptar puntos de interconexión de Internet de banda ancha controlados por las compañías alemanas Stellar, IABG y Cetel. Tales estaciones de espionaje, localizadas en Buda, en la región británica de Cornwall, hurgaban el tráfico de Internet de esos nodos para identificar clientes importantes alemanes, sus abastecedores de tecnología y las tendencias técnicas en el sector.

“Preocupación legítima”

En la queja, se señala que “los demandantes están legítimamente preocupados por tales ataques, de los cuales podrían haber sido, o podrían ser todavía, víctimas”.

El documento asegura que el GCHQ “no ha identificado ninguna base legal de la alegada conducta, que si fuera ejecutada por un individuo particular implicaría la comisión de delitos criminales”.

En conversación telefónica desde Hamburgo, donde se halla la sede del CCC, Girlich asegura que el GCHQ está violando las leyes británicas al usar técnicas para manipular los servicios de comunicación. “Creemos que nuestra demanda representa una oportunidad para mostrar, por lo menos, que es ilegal lo que están haciendo”, reflexiona.

“La demanda –abunda– ha sido ya reconocida por el tribunal y esperamos el procedimiento a seguir: lo más probable es que el tribunal decida juntar nuestra demanda con otras dos que son muy similares o que caen igualmente en la competencia legal de la Ley de Regulación de Poderes Regulativos (RIPA)”.

Añade: “El siguiente paso es que el tribunal determine la situación de los otros casos y luego que decida sobre el nuestro. Eso podría suceder a principios del año que entra. Nuestra demanda ya fue reconocida, por lo que el tribunal está bajo presión. Ahora tendrá que determinar si es o no ratificada. Creemos que una decisión final puede darse durante 2015.

Girlich comenta que hasta ahora no han escuchado ningún argumento de defensa por parte de GCHQ, pero esperan que el tribunal convoque una audiencia pública antes de que termine este año.

Los siete demandantes exigen al IPT una “declaración” de que la intrusión del GCHQ en las computadoras y redes de Internet y servicios de comunicación de los proveedores, su personal y sus usuarios, es ilegal y contrario a los artículos 8 y 10 y al Protocolo Adicional de la CEDH. También solicitan que se ordene la destrucción de cualquier material obtenido ilegalmente y, finalmente, un mandato judicial que restrinja esas conductas ilícitas en el futuro.